Aspetti tecnici ed organizzativi
per la corretta gestione dei
sistemi informatici aziendali
Dr. Riccardo Làrese Gortigo
Il quadro di riferimento
• Testo Unico sulla privacy
• Disciplinare Tecnico
• Linee guida del Garante per posta
elettronica e internet
Il problema del controllo
• Il problema del controllo dell’utilizzo di posta
elettronica e navigazione internet si pone
innanzitutto come necessità di corretto equilibrio
tra il diritto dell’azienda di regolamentare l’uso
dei propri “assett” informatici ed il diritto degli
utenti di vedere salvaguardata la propria privacy
• Esiste inoltre la necessità di rispettare il divieto di
controllo a distanza dei lavoratori
• Secondo le Linee Guida il principale strumento
per garantire tale equilibrio è fornire agli
interessati una chiara e completa informazione
Informare gli interessati
• Utilizzare una modalità formale di informazione
• Preferibilmente predisporre un Regolamento Aziendale per
l’utilizzo dei sistemi informatici
• Il tema dell’utilizzo dei sistemi informatici può essere affrontato
nella sua integrità
• Si può utilizzare il modello predisposto da Confindustria
• Contenuti fondamentali
• Possibilità (o meno) di utilizzo dei sistemi per scopi diversi dalla
mansione lavorativa
• Disciplina d’uso dei diversi strumenti
• Definizione delle modalità di controllo
Il rispetto delle regole
• Se, per un verso, il personale è tenuto al rispetto
del regolamento, analogamente l’azienda è tenuta
a rispettare le modalità di controllo definite e
documentate
• Il controllo, quindi:
• Deve essere documentato secondo le modalità
effettivamente utilizzabili dal punto di vista tecnico
• Le attività di controllo di volta in volta eseguite devono
essere svolte secondo le modalità documentate
Modalità tecniche di gestione
della posta elettronica
L’assegnazione della casella di posta
• L’assegnazione (ed il ritiro) della casella di posta
elettronica (di proprietà dell’azienda) è una scelta
incondizionata dell’azienda, in base a proprie valutazioni
di necessità in base alla mansione svolta
• La casella di posta può essere intestata alla funzione
anziché alla persona, ad esempio:
• [email protected]
• [email protected]
invece di
• Può essere opportuno che le condizioni di utilizzo della
posta vengano documentate in un documento consegnato al
momento del rilascio della casella
La gestione della casella di posta
• Si ricorda che mediante la posta elettronica vengono
eseguiti trattamenti di dati personali
• Gli indirizzi di posta elettronica sono qualificati come dati
personali
• Molte informazioni hanno rilevanza anche contrattuale
• Esiste quindi la necessità e l’obbligo di proteggere i dati
mediante regolati operazioni di backup (almeno
settimanale)
• E’ quindi opportuno che i database di posta siano archiviati
su di un server protetto mediante backup piuttosto che sui
dischi fissi dei pc degli utenti
L’accesso alla posta elettronica
• L’accesso alla posta elettronica può avvenire, in
assenza dell’utente cui essa è assegnata, oltre che
per motivi tecnici, per assicurare il regolare
svolgimento delle attività aziendali, in caso di
urgenza e perdurando l’assenza dell’interessato
• Ogni accesso alla casella, in assenza di giustificati
motivi e da parte di persone non autorizzate, deve
essere evitato
Accesso alla posta – procedure
• Accesso da parte del “custode delle credenziali”
• In forza di quanto definito dal Disciplinare Tecnico, il
custode delle credenziali è la figura che, in qualsiasi
caso, permette all’azienda l’accesso alle informazioni
• Si suggerisce comunque di documentare la richiesta di
accesso
• Il custode, avendo accesso alle credenziali necessarie,
può permettere l’accesso
• Devono essere comunque seguite le procedure previste
• L’incaricato, al rientro sul posto di lavoro, deve essere
informato dell’avvenuto accesso e delle relative
motivazioni
Accesso alla posta - procedure
• Nomina del “fiduciario” da parte dell’utente
• La nomina non deve originare situazioni di reciproca
“copertura”
• Anche se non previsto dalle Linee Guida, il fiduciario
deve essere comunque di gradimento dell’azienda
• Il fiduciario accede alla posta solo in caso di richiesta
da parte dell’azienda
• Anche il comportamento del fiduciario deve essere
disciplinato dall’azienda
• L’incaricato, al rientro sul posto di lavoro, deve essere
informato dell’avvenuto accesso e delle relative
motivazioni
Accesso alla posta – come evitarlo
• Assenze programmate
• Configurare l’inoltro automatico (a seconda dei
casi da parte dell’utente o del personale
tecnico) ad un altro utente della posta
• Permettere l’accesso alla posta (se possibile) da
remoto
• Utilizzo remoto della casella di posta
• Accesso mediante “web-mail”
• Rilancio sul cellulare
Configurazione della posta – ulteriori
suggerimenti del Garante
• Creare ulteriori caselle (anche in un dominio
diverso) per uso personale (!)
• Permettere l’accesso a “web-mail” di tipo
personale, anche da postazioni dedicate
(Queste possibilità devono corrispondere a quanto
indicato nel Regolamento!)
• Inserire automaticamente un “disclaimer” in tutti i
messaggi in uscita dal dominio che ricordi
l’utilizzo esclusivamente aziendale della casella di
posta
Il controllo della navigazione
in internet
Principi generali
• Se, per la posta, esiste il problema di regolarizzare
l’accesso in caso di necessità, riguardo alla navigazione si
pone la necessità di individuare le modalità per un corretto
sistema di controllo
• Il controllo si rende altresì necessario:
•
•
•
•
Per una verifica tecnica (banda disponibile)
Per il controllo dei costi
Per la protezione dalle intrusioni nel sistema informatico
Per garantire di non essere coinvolti in eventuali problemi di tipo
legate (scarico illecito di software o di altro materiale protetto da
diritti di terzi, pornografia e pedopornografia, ecc.)
Principi generali
• Devono essere privilegiati gli strumenti che
limitano la navigazione a quanto previsto,
riducendo la necessità del controllo
• Il controllo deve essere “graduato”
• Gli utenti devono essere portati a conoscenza dei
sistemi di controllo esistenti
Strumenti di limitazione della
navigazione
• Utilizzo di “White list” e “Black list”
• Utilizzo di “Gray list” (segnalazione di siti non previsti ma
non esclusi)
• Limitazione dei protocolli
• No “peer-to-peer”
• No scarico file di tipo particolare (ad es. MP3)
• Limitazione dell’accesso alle persone che lo necessitano
• Queste limitazioni possono essere configurate (in modo
dinamico e granulare) mediante la corretta configurazione
dei “firewall” più performanti
Strumenti di limitazione della
navigazione
• Frequentemente la gestione del firewall è affidata a
fornitori esterni
• Si ricorda che la protezione mediante firewall è una delle
misure di sicurezza disciplinate dal Disciplinare Tecnico
• Pertanto il fornitore/gestore è tenuto a rilasciare la
“dichiarazione di conformità” prevista dal punto 25 del
Disciplinare
• E’ quindi opportuno che tale dichiarazione documenti
anche le politiche di filtro del firewall in relazione a quanto
previsto dalle Linee Guida
• Chi controlla il controllore (esterno)?
Gli strumenti di controllo
• I sistemi di firewall permettono un controllo
consuntivo della navigazione mediante un “log”
(registro) degli accessi a internet
• Il primo obbligo è la conservazione del log per un
periodo di tempo definito e limitato, congruente
con le necessità di controllo (ad es. un mese).
Deve essere assicurato e verificato che non
vengano conservate le informazioni dei log per
durate superiori a quelle prevista
La modalità di controllo
• Il controllo non può essere preventivo e
generalizzato
• Il controllo deve avvenire, in prima battuta, in
forma anonima e quindi relativo all’utilizzo da
parte di tutti gli utenti
• Controlli più approfonditi si giustificano solo nel
caso in cui vengano rilevate irregolarità d’uso
• Lo svolgimento di controlli ulteriori deve avvenire
solo da parte di personale individuato (istruzioni
scritte per il trattamento) e preferibilmente in base
ad una procedura documentata
La graduazione del controllo
•
Controllo di base di tipo anonimo
•
•
Vengono rilevati i siti ma non gli utenti
In caso di rilevazione di navigazioni non autorizzate:
1. Segnalazione a tutti gli utenti della situazione non permessa che è
stata rilevata
2. Verifica se la segnalazione è stata sufficiente a bloccare la
navigazione non autorizzata: se così fosse ogni ulteriore controllo
non sarebbe necessario né lecito
3. Controlli anonimi segmentati (ad es. per area funzionale)
4. Ulteriore richiamo
5. Solo se il fenomeno perdura diviene lecito un controllo non
anonimo (rilevazione dell’utente)
•
Nel caso di controllo individuale diventa quindi
necessario procedere per sanzionare il comportamento
non autorizzato!
La graduazione del controllo
Problemi tecnici
• Di norma i log dei firewall sono disponibili con grande
dettaglio (ora – sito – indirizzo Ip interno)
• E’ quindi necessario richiedere ai fornitori (o produrre
autonomamente) una reportistica di sintesi di tipo anonimo
per i controlli iniziali
• L’accesso ai log deve essere limitato alle persone
autorizzare
• Problema della efficacia del controllo:
• L’indirizzo IP non permette abitualmente di identificare l’utente
che ha effettuato la navigazione (soprattutto se l’uso dei sistemi di
autenticazione non è disciplinato conformemente al DT!)
Informare gli utenti sui controlli
• Informazione agli utenti (Regolamento):
• Limiti tecnici alla navigazione
• Modalità di controllo
• Documentazione dei controlli
• Attenzione!
• E’ ovviamente necessario, nel caso in cui i controlli si
rendano necessari, eseguire i controlli secondo le
modalità dichiarate
• In caso di provvedimenti devono essere trattate solo le
informazioni strettamente necessarie per documentare
l’infrazione rilevata (cfr. provvedimenti del Garante)
Corretta configurazione di sistemi di
controllo a distanza del pc
Accesso remoto al pc
• L’uso di strumenti di accesso e controllo remoto
del pc in uso ai singoli utenti è frequente nelle
aziende
• Sedi remote
• Diminuzione degli spostamenti
• Minori tempi di intervento
• Tali strumenti potrebbero però essere interpretati
come utilizzabili per svolgere un illecito controllo
a distanza
• Anche l’uso di tali strumenti deve quindi essere
disciplinato secondo le normative vigenti
Accesso remoto al pc - modalità
• Informare preventivamente l’utente sulla esistenza degli
strumenti (Regolamento)
• Limitare l’utilizzo dell’accesso remoto ai casi strettamente
necessari
• Configurare gli strumenti in modo che il controllo sia
possibile solo dopo l’attivazione da parte dell’utente
(impedire quindi il controllo a insaputa dell’utente)
• Sono proibite in modo assoluto:
• La lettura e la registrazione dei caratteri inseriti tramite la tastiera
(o dispositivi analoghi)
• L’analisi occulta di computer portatili affidati in uso agli utenti
• (Qualsiasi altro strumento di controllo nascosto – ad es. sniffer di
rete)
Il Regolamento per l’utilizzo dei
sistemi informatici aziendali
La necessità del Regolamento
• Come più volte segnalato, il Regolamento è lo strumento
preferenziale che il Garante indica per disciplinare
l’utilizzo di posta elettronica e navigazione
• Esso tuttavia può disciplinare molti altri aspetti
dell’utilizzo dei sistemi informatici, come ad esempio:
•
•
•
•
Archiviazione dei files
Modalità di utilizzo dell’hardware (in particolare pc portatili)
Utilizzo ed installazione del software (regolarità delle licenze)
Utilizzo del telefono e del cellulare aziendale
• Esso inoltre richiama ed illustra i comportamenti richiesti
per il rispetto delle misure di sicurezza stabilite
dall’azienda e dal Disciplinare Tecnico
Il Regolamento
• Può assumere piena efficacia disciplinare, purché vengano
seguite le procedure previste dalla normativa in vigore
• Può essere redatto sulla base del modello realizzato da
Confindustria e presente sul sito www.assind.vi.it
• E’ auspicabile che non venga “vissuto” dagli utenti come
strumento impositivo, ma soprattutto come ausilio per
migliorare il lavoro di tutti
• Pertanto è opportuno che l’azienda non si limiti a
distribuirlo agli interessati, ma lo accompagni con un
intervento formativo (che potrebbe assumere anche il
valore di “formazione privacy”)
Richiamo sulle Misure di
Sicurezza
L’autenticazione degli utenti
• Si ricorda l’obbligo di eseguire una regolare procedura di
autenticazione prima di eseguire qualsiasi trattamento di dati personali
mediante strumenti informatici
• La modalità classica prevede l’utilizzo di un codice individuale e di
una parole chiave riservata
• Si rileva che la obbligatoria riservatezza della parola chiave (e le altre
misure per la sua gesione) è spesso disattesa
• Può essere quindi opportuno valutare l’utilizzo di strumenti di
autenticazione alternativi, definiti di “autenticazione forte” che tra
l’altro permettono una maggiore protezione delle informazioni
aziendali:
• Utilizzo di sistemi biometrici
• Utilizzo di dispositivi di autenticazione
Sistemi biometrici di autenticazione
• E’ stato rilevato come tali strumenti siano di
difficile implementazione:
• Necessità di Notifica al Garante
• Necessità di richiesta di autorizzazione del Garante
• Se ne sconsiglia quindi l’utilizzo
Dispositivi di autenticazione forte
• Strumenti:
• Badge
• Badge con generazione di codice
• Caratteristiche:
• Costo contenuto
• Integrazione con i programmi di autenticazione standard
abbastanza semplice
• Efficacia per il controllo degli accessi remoti al sistema (VPN)
• Elevato livello di controllo
• Possibile integrazione con altri controlli (ad es. accessi, rilevazione
presenze)
• Nessuna particolare incombenza normativa
Richiamo sulle Misure Minime di
Sicurezza di tipo informatico
•
•
•
•
•
•
Utilizzo di procedure di autenticazione
Definizione dei profili di autorizzazione
Protezione integrale mediante antivirus
Protezione dalle intrusioni (*)
Protezione mediante backup almeno settimanale
Dichiarazione di conformità da parte degli installatori di strumenti di
protezione
• Aggiornamento annuale del Documento Programmatico (**)
• Misure di “disaster recovery” (*)
• Archiviazione protetta dei supporti (*)
(*) Solo in caso di trattamento di dati di natura sensibile e giudiziaria
(**) Solo nei casi previsti a seguito delle semplificazioni recentemente introdotte
Ringrazio per l’attenzione
Riccardo Larese Gortigo
[email protected]